脆弱性情報 公開日:
WordPress脆弱性情報:ProfilePressプラグイン
ProfilePressプラグイン(Paid Membership, Ecommerce, Registration Form, Login Form, User Profile, Paywall & Restrict Content – ProfilePress・旧名称WP User Avatar)において、脆弱性の存在が確認されました。開示された脆弱性はCVSS 3.1スコア7.1(patchstack)とされており、高リスクのものです。影響を受けるバージョンは、4.4.1以前のバージョンです。
WordPressプラグインの脆弱性情報です。
ProfilePressプラグインに、脆弱性存在の報告
ProfilePressプラグイン(Paid Membership, Ecommerce, Registration Form, Login Form, User Profile, Paywall & Restrict Content – ProfilePress・旧名称WP User Avatar)において、脆弱性の存在が確認されました。
もともと、このプラグインはWP User Avatarという名で親しまれていた、サイト内でプロフィール写真を簡単に設定できるプラグインです。2021年にプラグインの仕様を変更し、ProfilePressという名前に変更されました。
開示された脆弱性はCVSS 3.1スコア7.1(patchstack)とされており、高リスクのものです。
開示された脆弱性の内容はXSSで、認証なしの攻撃者が実行できる可能性があります。
影響を受けるバージョン
影響を受けるバージョンは、4.4.1以前のバージョンです。
完全パッチバージョン
脆弱性の存在箇所について、修正がなされたバージョンは4.5.4です。
※ただし、その後リリースされた4.5.5でもXSS脆弱性の修正がされています。
CVE ID
CVE-2022-47444
今回脆弱性が報告されたプラグインのページはこちらです。
参考サイト: Patchstack・脆弱性情報